AI agents should not have hard-coded credentials in topics

Kodėl tai svarbu

Kai DI agentai turi įkoduotus prisijungimo duomenis, API raktus ar slaptažodžius, šios reikšmės yra atskleistos agento temų apibrėžimuose. Tai sukuria saugumo riziką, nes kiekvienas, turintis prieigą prie agento, gali peržiūrėti ar išgauti neskelbtiną informaciją. Pakeitus šiuos prisijungimo duomenis saugesnėmis alternatyvomis, užkertamas kelias neteisėtai prieigai ir duomenų pažeidimams.

Ką tikrina Aether365

Šis patikrinimas nuskaito visas Copilot Studio agentų temas jūsų Microsoft 365 nuomotoje, ieškodamas šablonų, rodančių įkoduotus prisijungimo duomenis, API raktus, ryšio eilutes ar kitus slaptažodžius. Jis rodomas jūsų Aether365 valdymo skydelyje po microsoft-365 patikrinimų.

Kaip ištaisyti

1. Naudodami Aether365 nuskaitymo rezultatus, nustatykite visus atvejus, kai agento temose yra įkoduotų prisijungimo duomenų.
2. Pašalinkite įkoduotas reikšmes iš kiekvienos temos.
3. Sukurkite Power Platform aplinkos kintamuosius konfigūracijos reikšmėms, tokioms kaip URL ir nekonfidencialūs parametrai.
4. Visus slaptažodžius, API raktus ir ryšio eilutes saugokite Azure Key Vault.
5. Konfigūruokite pasirinktinius jungtis naudoti OAuth arba API rakto autentifikaciją, kuri nurodo aplinkos kintamuosius arba Key Vault slaptažodžius, išlaikant prisijungimo duomenis už agento temos apibrėžimo ribų.
6. Išbandykite agentą, kad įsitikintumėte, jog visi ryšiai ir veiksmai veikia tinkamai.

Atitiktis

• Kita: Šis patikrinimas yra Aether365 saugumo geriausių praktikų dalis, skirta Microsoft 365

Susiję ištekliai

• Naudokite aplinkos kintamuosius Power Platform

Microsoft references

• Environmentvariables
• Security top 10